Wie Apotheken die EPA sicherer machen können

Kurz vor dem Start der EPA-Testphase am 15. Januar waren die Sicherheitsbedenken rund um das digitale Großprojekt noch einmal gewachsen, weil der Chaos Computer Club (CCC) Sicherheitsmängel offengelegt hatte. In der Folge bemühte sich Bundesgesundheitsminister Karl Lauterbach (SPD) um Schadensbegrenzung und versicherte, dass der Rollout erst stattfinde, wenn das Projekt sicher sei. 

Kritik und Bedenken des CCC wurden nun in einem Maßnahmenkatalog der Gematik berücksichtigt. Im Konsens mit Bundesgesundheitsministerium (BMG) und dem Bundesinstitut für Sicherheit in der Informationstechnik (BSI) sei ein Maßnahmenpaket entwickelt worden, das die Punkte des CCC adressiere, erklärte eine Gematik-Sprecherin gegenüber der PZ. Die Gematik-Gesellschafterversammlung habe diese Maßnahmen bestätigt. Die Umsetzung laufe derzeit.

Die Gematik schätzt es zwar als unwahrscheinlich ein, dass die bemängelten Schwachstellen ausgenutzt werden. Aber um die Sicherheit des Systems zusätzlich zu erhöhen, würden sowohl technische als auch organisatorische Maßnahmen ergriffen. Sie seien dezentral von verschiedenen Parteien im Gesundheitssystem umzusetzen, auch von Apotheken.

Die Maßnahmen sind:

• Keine Weitergabe von Hardware: Hardware, die für den Zugang zur TI benötigt wird (Konnektor, Kartenterminal etc.) darf unter keinen Umständen weitergegeben oder verkauft werden. Dies gilt insbesondere für die SMC-B und die dazugehörige PIN.
• Kontrolle von IT-Dienstleistern vor Ort: Gesundheitseinrichtungen müssen sicherstellen, dass Dienstleister vor Ort keinen unbefugten Zugriff auf die TI erhalten. Es wird empfohlen, nur vertrauenswürdige Personen an den Systemen arbeiten zu lassen und diese zu beaufsichtigen. Gesundheitseinrichtunge sind verpflichtet, den Zugang zur TI nur dafür zugelassenen Personen zu gewähren.
• Aktualisierung von Softwareständen: Alle Systeme mit TI-Zugriff müssen stets auf dem aktuellen Stand gehalten werden, um Sicherheitsrisiken durch veraltete Software zu minimieren.

Zusätzlich zu den vom CCC offengelegten Schwachstellen, die der Verein bei seinem jüngsten Chaos Communication Congress in Hamburg Szenarien vorstellte, kam kurz vor dem Start der EPA-Testphase die Nachricht über einen Datenschutzvorfall beim Vertrauensdienstleister D-Trust. Das Tochterunternehmen der Bundesdruckerei, das unter anderem elektronische Heilberufsausweise ausgibt, meldete einen Hackerangriff, bei dem personenbezogene Daten von Antragstellern von HBA und SMC-B ausgelesen worden seien.  Der CCC stufte den Vorfall wenig später als hausgemachtes Datenleck ein. D-Trust ist nach eigenen Angaben dabei,  diese Aussagen auszuwerten.